La encrucijada en la que se encuentra Europa determinará si finalmente recupera su soberanía digital y se convierte en un actor de peso en el panorama internacional. La identidad digital gestionada al modo europeo —con la privacidad y el control de los datos en manos del usuario— es uno de los elementos clave para asegurar la capacidad de controlar el propio destino digital.

Carlos Pastor

El reglamento eIDAS2, aprobado por el Parlamento Europeo el 28 de febrero, en el que se incluye el Wallet Europeo de Identidad Digital (European Digital Identity Wallet, EDIW) es una de las piezas básicas de la nueva regulación europea que está llegando en torno a la denominada identidad digital universal.

En eIDAS2, la identidad digital europea se configura como un derecho de los ciudadanos. Se exige que sea fiable, voluntaria, controlada por el usuario, válida en toda la Unión Europea y universalmente disponible —de forma gratuita— para los usuarios.

Además, debe permitir a cualquier usuario controlar sus interacciones, tanto las que se realizan online como las presenciales, y tanto en el ámbito público como en el privado. Esta es una de las diferencias más importantes con la versión anterior de la regulación: no solo se enuncia que se podrá usar en el ámbito privado, sino que se ponen los medios para que así suceda, con el objetivo de garantizar una experiencia de usuario semejante en los dos ámbitos.

Identificación y otros datos (atributos)

En la nueva regulación, la gestión de la identidad digital incluye tanto los datos mínimos de identificación (personal identification data, PID) como las denominadas declaraciones electrónicas de atributos (electronic attestation of attributes, EAA).

Es decir, no solo cubre los aspectos relativos a la identificación y autenticación, sino también cualquier otro aspecto o atributo de los ciudadanos que pueda merecer una certificación, como, por ejemplo, títulos universitarios, número de la seguridad social, la condición de empleado de una empresa, de colaborador con una ONG, de federado para la práctica de un deporte, de titular de una cuenta bancaria, de cliente de una compañía o cualquier otra aplicación que podamos imaginar.

Por su parte, las EAA son la definición legal de lo que en los estándares técnicos, en particular los del World Wide Consortium (W3C), se denomina credenciales verificables (CV).

Esta ampliación del concepto de identidad digital es otra de las diferencias esenciales de eIDAS2 respecto a su predecesor: la gestión de las EAA se ha configurado como un nuevo servicio de confianza.

Calendario: El camino hacia la identidad digital universal

Cartera de identidad digital europea (EDIW)

La cartera de identidad digital se define formalmente en eIDAS2 como un medio de identificación que permite almacenar datos de identidad y declaraciones electrónicas de atributos, así como crear firmas electrónicas.

Las Administraciones públicas, las grandes plataformas de internet y las grandes empresas que requieran identificación o autenticación estarán obligadas (véase el calendario más adelante) a aceptarlo a petición del usuario. Sin embargo, para el ciudadano, emplear este sistema es estrictamente voluntario y quien prefiera abstenerse de hacerlo debe tener a su disposición otros medios de identificación o autenticación alternativos, sin sufrir por ello ninguna restricción o desventaja.

Cada Estado miembro está obligado a garantizar que sus ciudadanos dispongan de, al menos, un EDIW en dos años (es decir, para el tercer trimestre de 2026) a partir de la publicación de las normas técnicas, aunque puede haber más, proporcionados o validados por el Estado. Por tanto, permite guardar los datos de identificación personal (PID) como cualquier otro atributo personal (EAA) y facilita su posterior gestión.

La ampliación del concepto de identidad digital es otra de las diferencias esenciales de eIDAS2 respecto a su predecesor

Los datos de identificación personal, cuya gestión está reservada a los Estados miembros, ofrecen una identificación con un nivel de confianza de tipo alto. Las Declaraciones Electrónicas de Atributos (EAA o CV), que permiten demostrar otros atributos o características del usuario adicionales a la identificación, pueden gestionarse en una cartera EDIW oficial o en otras no oficiales; por tanto, se pueden empezar a usar inmediatamente.

Otros servicios de confianza en eIDAS2

A los servicios existentes previamente, en eIDAS 2 se añaden las Declaraciones Electrónicas de Atributos (EAA) y el libro mayor electrónico, entendido como un registro secuencial de anotaciones que garantiza la integridad y el orden cronológico de las mismas.

Estos nuevos servicios los puede proporcionar un proveedor cualificado, en cuyo caso se considerarán cualificados. También los puede proporcionar una Administración pública, directa o indirectamente. Ambos emisores gozan de presunción de veracidad, mientras que para los no cualificados rige el principio de no discriminación, es decir, no podrán descartarse o rechazarse por estar en formato digital.

En resumen, uno de los beneficios clave que aporta la identidad digital es su universalidad en cuanto a los tipos de datos (identificación y otros atributos), teniendo en cuenta su uso en toda Europa, tanto en el ámbito público como en el privado, y con la obligación clara de aceptación por parte de las Administraciones públicas, grandes plataformas y empresas significativas. Esto va a suponer un cambio en la vida online de los ciudadanos, siempre que la implementación de los wallets sea suficientemente exigente en cuanto a la experiencia de usuario.

El reglamento eIDAS2 se publicó el 22 de abril, formalmente es el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.° 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital.